一种对存储介质进行自动化智能取证的方法及其系统的制作方法

专利名称：一种对存储介质进行自动化智能取证的方法及其系统的制作方法
技术领域：
本发明涉及一种对存储介质的取证方法，特别是涉及一种对存储介质进行自 动化智能取证的方法及其系统。
背景技术：
随着计算机应用的大量普及，伴随而来的是计算机犯罪现象的出现，如实施 对计算机信息数据的窃取，对计算机重要数据实施破坏或篡改，利用计算机制作、 传播有害信息，通过计算机制造、传播病毒，或实施"黑客"行动破坏网络秩序 等等。这种计算机犯罪行为所带来的后果，严重地影响了国民经济建设的发展和 社会的安全与稳定，对计算机犯罪进行取证勘察成了现在打击和预防计算机犯罪 行为的重要手段。
目前我们国家针对案件硬盘等存储设备进行调査时所使用的专业分析软件 绝大部分都是国外的产品，例如EnCase、 FTK等。这类型的软件系统往往功能 较强大、但使用很复杂，对操作人员要求比较高，需要有较高的计算机技术水平， 并且需要专门培训才能够比较好的发挥作用，而且无法提供针对国内计算机常用 数据进行调查的功能，例如Foxmail、 QQ数据提取等，无法进行全面的分析取 证。
现有取证技术主要采用多次、多步骤分析方法，具体就是针对不同案件，根 据需要，多次调用不同功能进行分析取证。图1即为现有取证方法的流程图，现 有取证方法主要包括如下步骤人工选择分析内容步骤(如图1中的框11'所示)， 该步骤是根据案件特点要求以及分析人员对技术的理解、取证经验，决定准备要 分析的内容，并做好相关信息配置；读取部分数据，进行分析步骤(如图1中的 框12'所示)，该步骤是根据上一步选择的分析内容，从待分析的存储介质里读 取部分数据进行分析，因为待分析的存储介质数据量一般较大(几十GB甚至上百GB)，无法一次性全部读取出来，因此这个阶段只能是一次读取部分数据、进行分析；数据读取判断步骤(如图1中的框13'所示)，该步骤对数据是否读取完毕进行判断，当判断结果为数据未读完时，返回读取部分数据，进行分析的步骤，继续读取数据，当判断结果为数据已读完时，转到下一步骤；对分析结果做书签步骤(如图1中的框14'所示)，该步骤是由取证人员对分析过程中所产生大量的分析结果做进一步的筛选，对感兴趣的结果做个标记(书签)，以便后续全部功能分析完毕后，整理报告，由于筛选的条件取决于取证分析人员对案件的理解、技术的熟悉和取证经验，因此主观性较强，由不同人来完成将会出现不同的结果；分析判断步骤(如图1中的框15'所示)，该步骤对所需要完成的功能是否分析完毕进行判断，当判断结果为未完毕时，返回人工选择分析内容步骤选择另一个功能进行分析取证，当判断结果为已完毕时，转到下一步骤；整理书签步骤(如图1中的框16'所示)，该步骤是根据分析过程中所做的标记(书签)，整理筛选出有用资料，以便后面产生报告；产生报告步骤(如图1中的框17'所示)，该步骤生成报告，以便提交给司法机构。
现有技术的取证方法主要存在如下不足 一是功能分散，每分析一项功能需要独立完成；二是操作复杂，操作者需要具备较髙的计算机技术水平，才能完成取证分析工作；三是取证不全面，由于取证工作需要关注的内容较多，取证的内容依托于取证人员的计算机技术水平、对案件的理解以及取证经验，在实际操作过程中经常分析了这项、丢了那项，无法全面的进行取证分析；四是每次取证分析过程需要多次分析每项内容，多次从目标对象物理存储介质中读取数据，增加目标对象物理存储介质损坏的可能性，因为多次进行i/o操作，影响了分析速度，分析效率慢；五是由于不同取证人员的经验、技术水平不一样，导致同样的电子介质、利用同样的分析工具软件，但最后的取证分析报告却不一样；六是归属于同一类别的不同次案件，需要做重复性的分析工作，工作量大、效率低。

发明内容
本发明的目的在于克服现有技术之不足，提供一种对存储介质进行自动化智能取证的方法及其系统，是采用了自动加载、智能判断和髙效分析的技术手段来进行取证分析，使得整个取证过程简单、易操作，分析结果不依赖于取证人员的技术水平，具有全面取证、自动操作、高效分析、智能识别有用信息、取证效率高的特点。
本发明解决其技术问题所采用的技术方案是 一种对存储介质进行自动化智能取证的方法，包括如下步骤
自动加载分析功能模块步骤，该步骤是在启动分析后，取证计算机运行取证系统，自动寻找系统可用分析功能模块插件，并将所有插件的所有分析功能模块自动加载到取证计算机中，使取证计算机具备全面的分析功能；
智能选择需分析模块步骤，该步骤是由取证人员根据案件的类型、特点向取证计算机输入设定条件，取证系统根据所述设定条件智能选择需要采用的分析模
块；
开始分析步骤，该步骤是启动进入功能分析；
从存储介质读取部分数据步骤，该步骤是由取证计算机从待分析的存储介质中读取部分数据；
功能分析步骤，该步骤是由取证计算机的取证系统从所述智能选择需分析模块步骤所选择确定的需被采用的分析模块中调出其中的一个分析模块；
智能识别有用结果步骤，该步骤是由功能分析步骤中所调用的所述分析模块对从存储介质读取部分数据步骤中读取的所述部分数据进行分析处理，智能识别出有用信息；
保存有用结果步骤，该步骤是将智能识别有用结果步骤所识别出的有用信息存储在取证计算机所对应的存储区域中；
分析判断步骤，该步骤是对智能选择需分析模块步骤所选择确定的需被采用的所有分析模块是否被调用完进行判断；当判断结果为未调用完时，返回功能分析步骤选择调用另一个分析模块进行分析取证；当判断结果为已调用完时，转到下一步骤；数据读取判断步骤，该步骤是对被取证的存储介质的数据是否读取完毕进行判断；当判断结果为所述存储介质的数据未读完时，返回从存储介质读取部分数据步骤，继续读取所述存储介质的未被读取的数据；当判断结果为所述存储介质的数据己读完时，取证分析完成。
所述自动加载分析功能模块步骤中，进一步的还包括如下步骤枚举功能模块控件步骤，该步骤是读取取证计算机上安装的取证插件；
加入自动分析列表步骤，该步骤是把读取出来的取证插件信息加入自动分析列表里，让自动分析功能具备全面的分析功能；
枚举判断步骤，该步骤是对枚举取证计算机上安装的所有取证插件是否枚举完毕进行判断；当判断结果为枚举未完毕时，返回枚举功能模块控件步骤，继续读取取证计算机上安装的取证插件；当判断结果为枚举完毕时，加载完毕，结束自动加载分析功能模块步骤。
所述智能选择需分析模块步骤中，进一步的还包括如下步骤
选择案件类型步骤，该步骤是由取证人员根据案件实际情况，向取证计算机的取证系统所显示的案件属性表填入对应的内容，取证系统根据案件属性自动生成分析该案件时所要采用的分析策略；
加载智能库分析模块步骤，该步骤是加载智能库里面的所有分析模块；
确定要分析模块步骤，该步骤是由取证计算机的取证系统根据选择案件类型后所产生的分析策略，以及取证系统可分析的所有分析模块，智能挑选出适于该案件进行分析所需要的一个或多个功能分析模块，以便在后续步骤中提供调用。
一种对存储介质进行自动化智能取证的系统，包括
一自动加载分析功能模块装置，该装置用来在启动分析后，能自动寻找系统可用分析功能模块插件，并将所有插件的所有分析功能模块自动加载进来；
一智能选择需分析模块装置，该装置用来接收取证人员根据案件的类型、特点所输入的设定条件，根据所输入的设定条件智能选择需要采用的分析模块，并将被选用的各分析模块存入存储装置中；一存储装置，设有第一存储区用来存储被选用的各分析模块，设有第二存储区用来存储有用信息；
一读取待分析存储介质部分数据装置，该装置用来逐次读取被检测存储介质的部分数据；
一调用分析模块装置，该装置用来从存储装置中逐个调取被选用的分析模
块；
一智能识别有用信息装置，该装置是利用分析模块对从存储介质读取的部分数据进行分析处理，智能识别出有用信息，并将该有用信息存储到存储装置的第二存储区中；
一第一比较判断装置，该装置对存储装置中所存储的被选用的各分析模块是否调用完进行判断，并根据判断结果输出控制信号；
一第二比较判断装置，该装置对待分析存储介质内的数据是否读取完进行判断，并根据判断结果输出控制信号；
自动加载分析功能模块装置的输出接至智能选择需分析模块装置，前者将加载的分析模块输出给后者，由后者根据设定条件进行选择智能选择需分析模块装置与存储装置相连接，前者将选定的各分析模块存储在后者对应的存储区中；读取待分析存储介质部分数据装置与待分析存储介质相连接，前者读取后者的部分数据；读取待分析存储介质部分数据装置与调用分析模块装置相连接，后者调取前者对待分析存储介质所读取的部分数据；调用分析模块装置与存储装置相连接，前者从后者中逐个调取被选用的分析模块；调用分析模块装置的输出接至智能识别有用信息装置的输入，前者将所调取的来自待分析存储介质的部分数据和被选用的分析模块输给后者，由后者根据分析模块对所述的部分数据进行分析处理；智能识别有用信息装置的输出接至存储装置，前者将分析处理后所得到的有用信息存储到后者对应的存储区中；智能识别有用信息装置的输出接至第一比较判断装置的输入，前者将已分析处理完成的信号输出给后者；第一比较判断装置与存储装置相连接，前者从后者调取各分析模块的信息，对分析模块是否调取完进行比较判断；第一比较判断装置的控制信号输出接至调用分析模块装置的控制端，后者根据前者的指令决定是否从存储装置中调用分析模块；第一比较判断装置的输出接至第二比较判断装置的输入，前者将已处理完成的信号输出给后者；第二比较判断装置与待分析存储介质相连接，前者从后者获得比较信号，并对待分析存储介质的数据是否读取完进行比较判断；第二比较判断装置的控制信号输出接至读取待分析存储介质部分数据装置的控制端，后者根据前者的指令决定是否从待分析存储介质中继续读取数据。
本发明的有益效果是，由于采用了自动加载分析功能模块步骤以加载所有分析功能模块到取证计算机中，使取证计算机具备全面的分析功能；由于采用了智能选择需分析模块步骤以智能选择出适于对被取证案件进行分析所需要的功能分析模块，以供后续步骤调用；由于在分析过程中是先从存储介质读取部分数据，然后自动循环调用分析案件所需要的各分析模块对所读取的部分数据进行分析处理，使得只要遍历一遍存储介质，就可以分析完所有需要分析的功能；消除了现有技术造成的同类案件需要重复相同的步骤进行分析的弊端；消除了现有技术造成的分析不全面，分析结果取决于取证人员的技术水平的弊端；消除了现有技术造成的不遵循一定的分析次序，经常漏掉某项分析内容的弊端；消除了现有技术
造成的分析过程中涉及到多次i/o读取操作，分析速度慢的弊端。由于采用了自
动加载、智能判断和髙效分析的技术手段来进行取证分析，使得整个取证过程简单、易操作，分析结果不依赖于取证人员的技术水平，具有全面取证、自动操作、高效分析、智能识别有用信息、取证效率高的优点。
本发明的一种对存储介质进行自动化智能取证的方法及其系统，具有较为广阔的应用前景，据统计，目前中国网站数量巳达150万个，比去年同期增长了66万个，增长率达到78.4%。在今后几年内，国内网站的数量还将呈现大幅度地增长，按同样的增长率，预计2010年国内网站的数量将达到850万。计算机和网络比较集中和发达的地方，正是计算机犯罪的高发区。
目前我国主要的取证分析产品都依赖于进口 ，国外取证分析软件发展比较久，功能相对较强大、但使用也是比较复杂，入手门槛较高。本发明的方法将降低取证分析人员的技术要求，让更多取证人员更有效率地全面进行取证分析工作,并使取证分析软件真正实现国产化。
采用本发明的方法及其系统，将会大大縮短取证的时间、提高取证效率，并
且取证更全面、可靠性更强，取证时间将会縮短3倍以上，并且随着案件的复杂性、存储介质的数量增多，效率提髙更明显。
以下结合附图及实施例对本发明作进一步详细说明；但本发明的一种对存储介质进行自动化智能取证的方法及其系统不局限于实施例。


图1为现有取证方法的流程图2是本发明方法的主流程图3是本发明方法的自动加载分析功能模块步骤的流程图；图4是本发明方法的智能选择需分析模块步骤的流程图；图5是本发明系统的结构框图。
具体实施例方式
参图2至图4所示，本发明的一种对存储介质进行自动化智能取证的方法，包括如下步骤
自动加载分析功能模块步骤ll，该步骤ll是在启动分析后，取证计算机运行取证系统，自动寻找系统可用分析功能模块插件，并将所有插件的所有分析功能模块自动加载到取证计算机中，使取证计算机具备全面的分析功能；
该自动加载分析功能模块步骤11进一步的还被分解成如下三个步骤步骤一，即枚举功能模块控件步骤21，该步骤21是读取取证计算机上安装的取证插件；
步骤二，即加入自动分析列表步骤22，该步骤是把读取出来的取证插件信息加入自动分析列表里，让自动分析功能具备全面的分析功能；
步骤三，即枚举判断步骤23,该步骤23是对枚举取证计算机上安装的所有取证插件是否枚举完毕进行判断；当判断结果为枚举未完毕时，返回枚举功能模块控件步骤，即返回步骤21，继续读取取证计算机上安装的取证插件；当判断结
果为枚举完毕时，加载完毕，结束自动加载分析功能模块步骤ll;
智能选择需分析模块步骤12,该步骤12是由取证人员根据案件的类型、特点向取证计算机输入设定条件，取证系统根据所述设定条件智能选择需要采用的分析模块；
该智能选择需分析模块步骤12进一步的还被分解成如下三个步骤步骤一，即选择案件类型步骤31,该步骤31是由取证人员根据案件实际情
况，向取证计算机的取证系统所显示的案件属性表填入对应的内容，取证系统根
据案件属性自动生成分析该案件时所要采用的分析策略；
步骤二，即加载智能库分析模块步骤32,该步骤32是加载智能库里面的所
有分析模块；
步骤三，即确定要分析模块步骤33,该步骤33是由取证计算机的取证系统根据选择案件类型后所产生的分析策略，以及取证系统可分析的所有分析模块，智能挑选出适于该案件进行分析所需要的一个或多个功能分析模块，以便在后续步骤中提供调用；选择完毕，结束智能选择需分析模块步骤12;
开始分析步骤13,该步骤是启动进入功能分析；
从存储介质读取部分数据步骤14,该步骤14是由取证计算机从待分析的存储介质中读取部分数据；待分析的存储介质数据量一般较大(几十GB甚至上百GB),无法一次性全部读取出来，因此只能是一次读取部分数据，多次读取进行分析；
功能分析步骤15，该步骤15是由取证计算机的取证系统从所述智能选择需分析模块步骤12所选择确定的需被采用的分析模块中调出其中的一个分析模块；
智能识别有用结果步骤16，该步骤16是由功能分析步骤15中所调用的所述分析模块对从存储介质读取部分数据步骤14中读取的所述部分数据进行分析处理，智能识别出有用信息；保存有用结果步骤17，该步骤17是将智能识别有用结果步骤16所识别出的 有用信息存储在取证计算机所对应的存储区域中；
分析判断步骤18,该步骤18是对智能选择需分析模块步骤12所选择确定的 需被采用的所有分析模块是否被调用完进行判断；当判断结果为未调用完时，返 回功能分析步骤15选择调用另一个分析模块进行分析取证；当判断结果为已调用 完时，转到下一步骤；
数据读取判断步骤19，该步骤19是对被取证的存储介质的数据是否读取完 毕进行判断；当判断结果为所述存储介质的数据未读完时，返回从存储介质读取 部分数据步骤14，继续读取所述存储介质的未被读取的数据；当判断结果为所述 存储介质的数据已读完时，取证分析完成。
本发明的一种对存储介质进行自动化智能取证的方法，步骤11是将所有分 析功能模块都自动加载到取证计算机中，使取证计算机具备全面的分析功能，如 有n个分析模块，则将n个分析模块都自动加载到取证计算机中；步骤12是由取 证人员根据案件的类型、特点向取证计算机输入设定条件，取证系统根据所述设 定条件智能选择需要采用的分析模块，即从n个分析模块中选出m个分析模块， 以便在后续步骤中提供调用，其中m取值为l， 2，……，n;即选取出的分析模 块可以为一个或二个或三个……或n个;开始分析后，步骤14是由取证计算机从 待分析的存储介质中读取部分数据，由于待分析的存储介质数据量一般较大，无 法一次性全部读取出来，因此只能是一次读取部分数据，比如依次读取第一部分 数据，读取第二部分数据，……，读取第n部分数据等；在读取第一部分数据后， 步骤15是由取证计算机的取证系统从所述智能选择需分析模块步骤12所选择确 定的需被采用的分析模块中调出第一个分析模块;步骤16则是采用第一分析模块 对从存储介质读取部分数据步骤14中读取的第一部分数据进行分析处理，智能识 别出有用信息步骤17是将第一分析模块对第一部分数据进行分析处理后所识别 出的有用信息存储在取证计算机所对应的存储区域中；步骤18是对智能选择需分 析模块步骤12所选择确定的需被采用的所有分析模块即m个分析模块是否被调用完进行判断，由于步骤15才调出第一个分析模块，因此，判断结果为未调用完， 返回步骤15;由步骤15调出第二个分析模块，在步骤16、步骤17中则是采用第 二分析模块对从存储介质读取部分数据步骤14中读取的第一部分数据进行分析 处理，及保存有用信息；再进入步骤18对智能选择需分析模块步骤12所选择确 定的需被采用的所有分析模块即m个分析模块是否被调用完进行判断；由于步骤 15仅调出二个分析模块，因此，判断结果为未调用完，返回步骤15;由步骤15 调出第三个分析模块，依此类推，直到m个分析模块都被调用完为止，在这里， 步骤15—步骤16—步骤17—步骤18—步骤15，形成了第一循环，步骤15每调 出一个分析模块，就循环一次，直到循环m次为止，这样，通过第一循环的m次 循环，就实现了对存储介质的第一部分数据的分析处理；步骤19则是对被取证的 存储介质的数据是否读取完毕进行判断，由于步骤14才调出存储介质的第一部分 数据，因此，判断结果为所述存储介质的数据未读完，返回从存储介质读取部分 数据步骤14;由步骤14读取第二部分数据，在读出第二部分数据的情况下，取 证系统重复第一循环m次，使第一个分析模块、第二个分析模块、……、第m个 分析模块分别对存储介质的第二部分数据进行分析处理及保存有用信息；在完成 对存储介质的第二部分数据进行分析处理后，再次进入步骤19对被取证的存储介 质的数据是否读取完毕进行判断，由于步骤14仅调出存储介质的二部分数据，因 此，判断结果为所述存储介质的数据未读完，再返回从存储介质读取部分数据步 骤14;由步骤14读取第三部分数据，依此类推，直到读取第n部分数据后为止， 在这里，步骤14—m次第一循环—步骤19—步骤14，形成了第二循环，这样， 通过第二循环的n次循环，就实现了对存储介质的所有数据的所有分析模块的分 析处理。
参见图5所示，本发明的一种对存储介质进行自动化智能取证的系统，包括 一自动加载分析功能模块装置51，该装置51用来在启动分析后，能自动寻 找系统可用分析功能模块插件，并将所有插件的所有分析功能模块自动加载进来； 一智能选择需分析模块装置52，该装置52用来接收取证人员根据案件的类型、特点所输入的设定条件，根据所输入的设定条件智能选择需要采用的分析模 块，并将被选用的各分析模块存入存储装置中；
一存储装置53,设有第一存储区用来存储被选用的各分析模块，设有第二存 储区用来存储有用信息；
一读取待分析存储介质部分数据装置54，该装置54用来逐次读取被检测存 储介质50的部分数据；
一调用分析模块装置55,该装置55用来从存储装置53中逐个调取被选用的 分析模块；
一智能识别有用信息装置56，该装置56是利用分析模块对从存储介质读取 的部分数据进行分析处理，智能识别出有用信息，并将该有用信息存储到存储装 置的第二存储区中；
一第一比较判断装置57，该装置57对存储装置53中所存储的被选用的各分 析模块是否调用完进行判断，并根据判断结果输出控制信号；
一第二比较判断装置58，该装置58对待分析存储介质50内的数据是否读取 完进行判断，并根据判断结果输出控制信号；
自动加载分析功能模块装置51的输出接至智能选择需分析模块装置52，前
者将加载的分析模块输出给后者，由后者根据设定条件进行选择；智能选择需分 析模块装置52与存储装置53相连接，前者将选定的各分析模块存储在后者对应 的存储区中；读取待分析存储介质部分数据装置54与待分析存储介质50相连接， 前者读取后者的部分数据；读取待分析存储介质部分数据装置54与调用分析模块 装置55相连接，后者调取前者对待分析存储介质所读取的部分数据；调用分析模 块装置55与存储装置53相连接，前者从后者中逐个调取被选用的分析模块；调 用分析模块装置55的输出接至智能识别有用信息装置56的输入，前者将所调取 的来自待分析存储介质的部分数据和被选用的分析模块输给后者，由后者根据分 析模块对所述的部分数据进行分析处理；智能识别有用信息装置56的输出接至存 储装置53,前者将分析处理后所得到的有用信息存储到后者对应的存储区中；智能识别有用信息装置56的输出接至第一比较判断装置57的输入，前者将已分析 处理完成的信号输出给后者；第一比较判断装置57与存储装置53相连接，前者 从后者调取各分析模块的信息，对分析模块是否调取完进行比较判断；第一比较 判断装置57的控制信号输出接至调用分析模块装置55的控制端，后者根据前者 的指令决定是否从存储装置53中调用分析模块；第一比较判断装置57的输出接 至第二比较判断装置58的输入，前者将已处理完成的信号输出给后者；第二比较 判断装置58与待分析存储介质50相连接，前者从后者获得比较信号，并对待分 析存储介质的数据是否读取完进行比较判断；第二比较判断装置58的控制信号输 出接至读取待分析存储介质部分数据装置54的控制端，后者根据前者的指令决定 是否从待分析存储介质中继续读取数据。
上述实施例仅用来进一步说明本发明的一种对存储介质进行自动化智能取 证的方法及其系统，但本发明并不局限于实施例，凡是依据本发明的技术实质对 以上实施例所作的任何简单修改、等同变化与修饰，均落入本发明技术方案的保 护范围。
权利要求
1. 一种对存储介质进行自动化智能取证的方法，其特征在于包括如下步骤自动加载分析功能模块步骤，该步骤是在启动分析后，取证计算机运行取证系统，自动寻找系统可用分析功能模块插件，并将所有插件的所有分析功能模块自动加载到取证计算机中，使取证计算机具备全面的分析功能；智能选择需分析模块步骤，该步骤是由取证人员根据案件的类型、特点向取证计算机输入设定条件，取证系统根据所述设定条件智能选择需要采用的分析模块；开始分析步骤，该步骤是启动进入功能分析；从存储介质读取部分数据步骤，该步骤是由取证计算机从待分析的存储介质中读取部分数据；功能分析步骤，该步骤是由取证计算机的取证系统从所述智能选择需分析模块步骤所选择确定的需被采用的分析模块中调出其中的一个分析模块；智能识别有用结果步骤，该步骤是由功能分析步骤中所调用的所述分析模块对从存储介质读取部分数据步骤中读取的所述部分数据进行分析处理，智能识别出有用信息；保存有用结果步骤，该步骤是将智能识别有用结果步骤所识别出的有用信息存储在取证计算机所对应的存储区域中；分析判断步骤，该步骤是对智能选择需分析模块步骤所选择确定的需被采用的所有分析模块是否被调用完进行判断；当判断结果为未调用完时，返回功能分析步骤选择调用另一个分析模块进行分析取证；当判断结果为已调用完时，转到下一步骤；数据读取判断步骤，该步骤是对被取证的存储介质的数据是否读取完毕进行判断；当判断结果为所述存储介质的数据未读完时，返回从存储介质读取部分数据步骤，继续读取所述存储介质的未被读取的数据；当判断结果为所述存储介质的数据已读完时，取证分析完成。
2. 根据权利要求1所述的一种对存储介质进行自动化智能取证的方 法，其特征在于所述自动加载分析功能模块步骤中，进一步的还包括如 下步骤枚举功能模块控件步骤,该步骤是读取取证计算机上安装的取证插件; 加入自动分析列表步骤，该步骤是把读取出来的取证插件信息加入自 动分析列表里，让自动分析功能具备全面的分析功能；枚举判断步骤，该步骤是对枚举取证计算机上安装的所有取证插件是否枚举完毕进行判断；当判断结果为枚举未完毕时，返回枚举功能模块控 件步骤，继续读取取证计算机上安装的取证插件；当判断结果为枚举完毕 时，加载完毕，结束自动加载分析功能模块步骤。
3. 根据权利要求1所述的一种对存储介质进行自动化智能取证的方 法，其特征在于所述智能选择需分析模块步骤中，进一步的还包括如下 步骤选择案件类型步骤，该步骤是由取证人员根据案件实际情况，向取证 计算机的取证系统所显示的案件属性表填入对应的内容，取证系统根据案 件属性自动生成分析该案件时所要釆用的分析策略；加载智能库分析模块步骤,该步骤是加载智能库里面的所有分析模块;确定要分析模块步骤，该步骤是由取证计算机的取证系统根据选择案 件类型后所产生的分析策略，以及取证系统可分析的所有分析模块，智能 挑选出适于该案件进行分析所需要的一个或多个功能分析模块，以便在后 续步骤中提供调用。
4. 一种对存储介质进行自动化智能取证的系统，其特征在于包括: 一自动加载分析功能模块装置，该装置用来在启动分析后，能自动寻找系统可用分析功能模块插件，并将所有插件的所有分析功能模块自动加 载进来；一智能选择需分析模块装置，该装置用来接收取证人员根据案件的类 型、特点所输入的设定条件，根据所输入的设定条件智能选择需要采用的 分析模块，并将被选用的各分析模块存入存储装置中；一存储装置，设有第一存储区用来存储被选用的各分析模块，设有第 二存储区用来存储有用信息；一读取待分析存储介质部分数据装置，该装置用来逐次读取被检测存 储介质的部分数据；一调用分析模块装置，该装置用来从存储装置中逐个调取被选用的分 析模块；一智能识别有用信息装置，该装置是利用分析模块对从存储介质读取 的部分数据进行分析处理，智能识别出有用信息，并将该有用信息存储到 存储装置的第二存储区中；一第一比较判断装置，该装置对存储装置中所存储的被选用的各分析 模块是否调用完进行判断，并根据判断结果输出控制信号；一第二比较判断装置，该装置对待分析存储介质内的数据是否读取完 进行判断，并根据判断结果输出控制信号；自动加载分析功能模块装置的输出接至智能选择需分析模块装置，前 者将加载的分析模块输出给后者，由后者根据设定条件进行选择；智能选 择需分析模块装置与存储装置相连接，前者将选定的各分析模块存储在后 者对应的存储区中读取待分析存储介质部分数据装置与待分析存储介质 相连接，前者读取后者的部分数据；读取待分析存储介质部分数据装置与 调用分析模块装置相连接，后者调取前者对待分析存储介质所读取的部分 数据；调用分析模块装置与存储装置相连接，前者从后者中逐个调取被选 用的分析模块；调用分析模块装置的输出接至智能识别有用信息装置的输入，前者将所调取的来自待分析存储介质的部分数据和被选用的分析模块 输给后者，由后者根据分析模块对所述的部分数据进行分析处理；智能识 别有用信息装置的输出接至存储装置，前者将分析处理后所得到的有用信 息存储到后者对应的存储区中；智能识别有用信息装置的输出接至第一比 较判断装置的输入，前者将已分析处理完成的信号输出给后者；第一比较 判断装置与存储装置相连接，前者从后者调取各分析模块的信息，对分析 模块是否调取完进行比较判断；第一比较判断装置的控制信号输出接至调 用分析模块装置的控制端，后者根据前者的指令决定是否从存储装置中调 用分析模块；第一比较判断装置的输出接至第二比较判断装置的输入，前 者将已处理完成的信号输出给后者；第二比较判断装置与待分析存储介质 相连接，前者从后者获得比较信号，并对待分析存储介质的数据是否读取 完进行比较判断；第二比较判断装置的控制信号输出接至读取待分析存储 介质部分数据装置的控制端，后者根据前者的指令决定是否从待分析存储 介质中继续读取数据。
全文摘要
本发明公开了一种对存储介质进行自动化智能取证的方法及其系统，包括自动加载分析功能模块步骤、智能选择需分析模块步骤、开始分析步骤、从存储介质读取部分数据步骤、功能分析步骤、智能识别有用结果步骤、保存有用结果步骤、分析判断步骤和数据读取判断步骤，该方法及其系统是采用了自动加载、智能判断和高效分析的技术手段来进行取证分析，使得整个取证过程简单、易操作，分析结果不依赖于取证人员的技术水平，具有全面取证、自动操作、高效分析、智能识别有用信息、取证效率高的优点。
文档编号G06F21/00GK101546364SQ20081007253
公开日2009年9月30日 申请日期2008年12月29日 优先权日2008年12月29日
发明者达 滕, 王海滨 申请人:厦门市美亚柏科资讯科技有限公司